je me permets de vous contacter car j'ai un probleme sur une architecture.
j'ai plusieurs vhosts sur ma machine debian sarge. en tant que bon
paranoiaque, plusieurs d'entre eux sont accessibles depuis l'internet, et
sont plac=E9s sur du https.
seulement pour assurer l'authentification que l'on dialogue bien avec le bo=
n
vhost, j'aimerais que chacun de ces vhosts soit accessible avec un certifca=
t
propre.
mon architecture est la suivante:
la machine serveur avec ses vhosts
un routeur
mon probleme est que mon routeur ne peut rediriger vers une adresse ip ou u=
n
hote different en fonction de l'adresse demand=E9e.
au jour d'aujourd'hui, il se charge simplement de renvoyer les trames sur l=
e
port 443 vers mon serveur, la differenciation des noms de machine etant
effectu=E9e au niveau de la configuration des vhosts.
pour mon probleme de certificats, plusieurs options s'offrent a moi:
- realiser un proxy ssl. de telle sorte, je n'aurais qu'un seul certificat =
a
gerer. le gros probleme de cette methode, est que je ne veux pas que les
utilisateurs aient a demander une url du genre: https://site/path/ mais
seulement https://un_site/
- realiser un aliasing d'adresse ip sur les interfaces du serveur. cette
methode me semblait la meilleure, mais je ne veux pas ouvrir d'autres ports
sur mon firewall.
d'ou ma question: est ce que je vais pouvoir definir des certificats propre=
s
a chacun de mes vhosts accessibles sans pour autant etre oblig=E9 de passer
par une ouverture de ports?
j'esp=E8re avoir =E9t=E9 assez clair dans la description de mon probleme, m=
erci
d'avance pour votre aide
bien cordialement,
je me permets de vous contacter car j'ai un probleme sur une architecture.<=
br>
j'ai plusieurs vhosts sur ma machine debian sarge. en tant que bon
paranoiaque, plusieurs d'entre eux sont accessibles depuis l'internet,
et sont plac=E9s sur du https.<br>
seulement pour assurer l'authentification que l'on dialogue bien avec
le bon vhost, j'aimerais que chacun de ces vhosts soit accessible avec
un certifcat propre.<br>
mon architecture est la suivante:<br>
la machine serveur avec ses vhosts<br>
un routeur<br>
<br>
mon probleme est que mon routeur ne peut rediriger vers une adresse ip ou u=
n hote different en fonction de l'adresse demand=E9e.<br>
au jour d'aujourd'hui, il se charge simplement de renvoyer les trames
sur le port 443 vers mon serveur, la differenciation des noms de
machine etant effectu=E9e au niveau de la configuration des vhosts.<br>
<br>
pour mon probleme de certificats, plusieurs options s'offrent a moi:<br>
- realiser un proxy ssl. de telle sorte, je n'aurais qu'un seul
certificat a gerer. le gros probleme de cette methode, est que je ne
veux pas que les utilisateurs aient a demander une url du genre:
<a href=3D"https://site/path/">https://site/path/</a> mais seulement <a hre=
f=3D"https://un_site/">https://un_site/</a><br>
- realiser un aliasing d'adresse ip sur les interfaces du serveur.
cette methode me semblait la meilleure, mais je ne veux pas ouvrir
d'autres ports sur mon firewall.<br>
<br>
d'ou ma question: est ce que je vais pouvoir definir des certificats
propres a chacun de mes vhosts accessibles sans pour autant etre oblig=E9
de passer par une ouverture de ports?<br>
j'esp=E8re avoir =E9t=E9 assez clair dans la description de mon probleme, m=
erci d'avance pour votre aide<br>
bien cordialement,<br>
<br>
Matthieu<br>
<br>
------=_Part_1905_27390156.1136577272775--
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Daniel Caillibaud
Matthieu a écrit :
j'aimerais que chacun de ces vhosts soit accessible avec un certifcat propre.
Ils doivent alors avoir une IP publique chacun ! c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement en IPv6).
d'ou ma question: est ce que je vais pouvoir definir des certificats propres a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports?
?? Ce n'est pas une question de port. Les clients arrivent tous sur IP:443
Daniel
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Matthieu a écrit :
j'aimerais que chacun de ces vhosts soit accessible avec un
certifcat propre.
Ils doivent alors avoir une IP publique chacun !
c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire
autrement en IPv6).
d'ou ma question: est ce que je vais pouvoir definir des certificats
propres a chacun de mes vhosts accessibles sans pour autant etre obligé
de passer par une ouverture de ports?
??
Ce n'est pas une question de port.
Les clients arrivent tous sur IP:443
Daniel
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'aimerais que chacun de ces vhosts soit accessible avec un certifcat propre.
Ils doivent alors avoir une IP publique chacun ! c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement en IPv6).
d'ou ma question: est ce que je vais pouvoir definir des certificats propres a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports?
?? Ce n'est pas une question de port. Les clients arrivent tous sur IP:443
Daniel
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonsoir, je crois que j'ai du mal m'exprimer. ma machine n'a pas d'interface publique. Daniel Caillibaud wrote:
Matthieu a écrit :
j'aimerais que chacun de ces vhosts soit accessible avec un certifcat propre.
Ils doivent alors avoir une IP publique chacun ! c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement e n IPv6).
heu, il y a quelque chose que je comprends pas bien. pourquoi le certificat est lié a une adresse publique? ca serait pas plutot une ip quelque soit sa nature ? d'ou mon idée de realiser un ip aliasing...
d'ou ma question: est ce que je vais pouvoir definir des certificats propre s a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports?
?? Ce n'est pas une question de port. Les clients arrivent tous sur IP:443
heu, et si je definis un host sur un port different, tu es en train de me dire que je ne pourrais pas lui assigner de certificat?
Daniel
bien cordialement
Matthieu
Le 07/01/06, Daniel Caillibaud a écrit :
Matthieu a écrit :
> j'aimerais que chacun de ces vhosts soit accessible avec un > certifcat propre.
Ils doivent alors avoir une IP publique chacun ! c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement en IPv6).
> d'ou ma question: est ce que je vais pouvoir definir des certificats > propres a chacun de mes vhosts accessibles sans pour autant etre oblig é > de passer par une ouverture de ports?
?? Ce n'est pas une question de port. Les clients arrivent tous sur IP:443
Daniel
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonsoir, <br> je crois que j'ai du mal m'exprimer.<br> ma machine n'a pas d'interface publique.<br> Daniel Caillibaud wrote: <blockquote cite="" type="cite">M atthieu a écrit : <br>
<br> <blockquote type="cite">j'aimerais que chacun de ces vhosts soit access ible avec un certifcat propre. <br></blockquote>
<br> Ils doivent alors avoir une IP publique chacun ! <br> c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement en IPv6). <br> </blockquote> heu, il y a quelque chose que je comprends pas bien. pourquoi le certificat est lié a une adresse publique? ca serait pas plutot une ip quelque soit sa nature ? d'ou mon idée de realiser un ip aliasing...<br> <blockquote cite="" type="cite"> <br> <blockquote type="cite">d'ou ma question: est ce que je vais pouvoir de finir des certificats propres a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports? <br></blockquote>
<br> ?? <br> Ce n'est pas une question de port. <br> Les clients arrivent tous sur IP:443 <br>
<br> </blockquote> heu, et si je definis un host sur un port different, tu es en train de me dire que je ne pourrais pas lui assigner de certificat?<br> <blockquote cite="" type="cite">D aniel <br>
<br>
<br> </blockquote> bien cordialement<br> <br> Matthieu<br><br><div><span class="gmail_quote">Le 07/01/06, <b class="g mail_sendername">Daniel Caillibaud</b> <<a href="mailto: ier.com"></a>> a écrit :</span><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> Matthieu a écrit :<br><br>> j'aimerais que chacun de ces vhosts soit a ccessible avec un<br>> certifcat propre.<br><br>Ils doivent alors avoir une IP publique chacun !<br>c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire <br>autrement en IPv6).<br><br>> d'ou ma question: est ce que je vais po uvoir definir des certificats<br>> propres a chacun de mes vhosts access ibles sans pour autant etre obligé<br>> de passer par une ouverture de ports? <br><br>??<br>Ce n'est pas une question de port.<br>Les clients arrivent to us sur IP:443<br><br>Daniel<br><br><br>--<br>Pensez à lire la FAQ de la l iste avant de poser une question :<br><a href="http://wiki.debian.net/?De bianFrench"> http://wiki.debian.net/?DebianFrench</a><br><br>Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"<br><br>T o UNSUBSCRIBE, email to <a href="mailto: debian.org"> </a><br>with a subject of " unsubscribe". Trouble? Contact <a href="mailto: an.org"></a><br><br></blockquote></div><br>
------=_Part_10171_30820345.1136660850470--
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonsoir,
je crois que j'ai du mal m'exprimer.
ma machine n'a pas d'interface publique.
Daniel Caillibaud wrote:
Matthieu a écrit :
j'aimerais que chacun de ces vhosts soit accessible avec un certifcat
propre.
Ils doivent alors avoir une IP publique chacun !
c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement e n
IPv6).
heu, il y a quelque chose que je comprends pas bien. pourquoi le certificat
est lié a une adresse publique? ca serait pas plutot une ip quelque soit sa
nature ? d'ou mon idée de realiser un ip aliasing...
d'ou ma question: est ce que je vais pouvoir definir des certificats propre s
a chacun de mes vhosts accessibles sans pour autant etre obligé de passer
par une ouverture de ports?
??
Ce n'est pas une question de port.
Les clients arrivent tous sur IP:443
heu, et si je definis un host sur un port different, tu es en train de me
dire que je ne pourrais pas lui assigner de certificat?
Daniel
bien cordialement
Matthieu
Le 07/01/06, Daniel Caillibaud <ml@editionsdidier.com> a écrit :
Matthieu a écrit :
> j'aimerais que chacun de ces vhosts soit accessible avec un
> certifcat propre.
Ils doivent alors avoir une IP publique chacun !
c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire
autrement en IPv6).
> d'ou ma question: est ce que je vais pouvoir definir des certificats
> propres a chacun de mes vhosts accessibles sans pour autant etre oblig é
> de passer par une ouverture de ports?
??
Ce n'est pas une question de port.
Les clients arrivent tous sur IP:443
Daniel
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
bonsoir, <br>
je crois que j'ai du mal m'exprimer.<br>
ma machine n'a pas d'interface publique.<br>
Daniel Caillibaud wrote:
<blockquote cite="mid43BFB0A0.2020203@editionsdidier.com" type="cite">M atthieu a écrit :
<br>
<br>
<blockquote type="cite">j'aimerais que chacun de ces vhosts soit access ible avec un
certifcat propre.
<br></blockquote>
<br>
Ils doivent alors avoir une IP publique chacun !
<br>
c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire
autrement en IPv6).
<br>
</blockquote>
heu, il y a quelque chose que je comprends pas bien. pourquoi le
certificat est lié a une adresse publique? ca serait pas plutot une ip
quelque soit sa nature ? d'ou mon idée de realiser un ip aliasing...<br>
<blockquote cite="mid43BFB0A0.2020203@editionsdidier.com" type="cite">
<br>
<blockquote type="cite">d'ou ma question: est ce que je vais pouvoir de finir des certificats
propres a chacun de mes vhosts accessibles sans pour autant etre obligé
de passer par une ouverture de ports?
<br></blockquote>
<br>
??
<br>
Ce n'est pas une question de port.
<br>
Les clients arrivent tous sur IP:443
<br>
<br>
</blockquote>
heu, et si je definis un host sur un port different, tu es en train de
me dire que je ne pourrais pas lui assigner de certificat?<br>
<blockquote cite="mid43BFB0A0.2020203@editionsdidier.com" type="cite">D aniel
<br>
<br>
<br>
</blockquote>
bien cordialement<br>
<br>
Matthieu<br><br><div><span class="gmail_quote">Le 07/01/06, <b class="g mail_sendername">Daniel Caillibaud</b> <<a href="mailto:ml@editionsdid ier.com">ml@editionsdidier.com</a>> a écrit :</span><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Matthieu a écrit :<br><br>> j'aimerais que chacun de ces vhosts soit a ccessible avec un<br>> certifcat propre.<br><br>Ils doivent alors avoir une IP publique chacun !<br>c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire
<br>autrement en IPv6).<br><br>> d'ou ma question: est ce que je vais po uvoir definir des certificats<br>> propres a chacun de mes vhosts access ibles sans pour autant etre obligé<br>> de passer par une ouverture de ports?
<br><br>??<br>Ce n'est pas une question de port.<br>Les clients arrivent to us sur IP:443<br><br>Daniel<br><br><br>--<br>Pensez à lire la FAQ de la l iste avant de poser une question :<br><a href="http://wiki.debian.net/?De bianFrench">
http://wiki.debian.net/?DebianFrench</a><br><br>Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"<br><br>T o UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUEST@lists. debian.org">
debian-user-french-REQUEST@lists.debian.org</a><br>with a subject of " unsubscribe". Trouble? Contact <a href="mailto:listmaster@lists.debi an.org">listmaster@lists.debian.org</a><br><br></blockquote></div><br>
------=_Part_10171_30820345.1136660850470--
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
bonsoir, je crois que j'ai du mal m'exprimer. ma machine n'a pas d'interface publique. Daniel Caillibaud wrote:
Matthieu a écrit :
j'aimerais que chacun de ces vhosts soit accessible avec un certifcat propre.
Ils doivent alors avoir une IP publique chacun ! c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement e n IPv6).
heu, il y a quelque chose que je comprends pas bien. pourquoi le certificat est lié a une adresse publique? ca serait pas plutot une ip quelque soit sa nature ? d'ou mon idée de realiser un ip aliasing...
d'ou ma question: est ce que je vais pouvoir definir des certificats propre s a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports?
?? Ce n'est pas une question de port. Les clients arrivent tous sur IP:443
heu, et si je definis un host sur un port different, tu es en train de me dire que je ne pourrais pas lui assigner de certificat?
Daniel
bien cordialement
Matthieu
Le 07/01/06, Daniel Caillibaud a écrit :
Matthieu a écrit :
> j'aimerais que chacun de ces vhosts soit accessible avec un > certifcat propre.
Ils doivent alors avoir une IP publique chacun ! c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement en IPv6).
> d'ou ma question: est ce que je vais pouvoir definir des certificats > propres a chacun de mes vhosts accessibles sans pour autant etre oblig é > de passer par une ouverture de ports?
?? Ce n'est pas une question de port. Les clients arrivent tous sur IP:443
Daniel
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonsoir, <br> je crois que j'ai du mal m'exprimer.<br> ma machine n'a pas d'interface publique.<br> Daniel Caillibaud wrote: <blockquote cite="" type="cite">M atthieu a écrit : <br>
<br> <blockquote type="cite">j'aimerais que chacun de ces vhosts soit access ible avec un certifcat propre. <br></blockquote>
<br> Ils doivent alors avoir une IP publique chacun ! <br> c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire autrement en IPv6). <br> </blockquote> heu, il y a quelque chose que je comprends pas bien. pourquoi le certificat est lié a une adresse publique? ca serait pas plutot une ip quelque soit sa nature ? d'ou mon idée de realiser un ip aliasing...<br> <blockquote cite="" type="cite"> <br> <blockquote type="cite">d'ou ma question: est ce que je vais pouvoir de finir des certificats propres a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports? <br></blockquote>
<br> ?? <br> Ce n'est pas une question de port. <br> Les clients arrivent tous sur IP:443 <br>
<br> </blockquote> heu, et si je definis un host sur un port different, tu es en train de me dire que je ne pourrais pas lui assigner de certificat?<br> <blockquote cite="" type="cite">D aniel <br>
<br>
<br> </blockquote> bien cordialement<br> <br> Matthieu<br><br><div><span class="gmail_quote">Le 07/01/06, <b class="g mail_sendername">Daniel Caillibaud</b> <<a href="mailto: ier.com"></a>> a écrit :</span><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> Matthieu a écrit :<br><br>> j'aimerais que chacun de ces vhosts soit a ccessible avec un<br>> certifcat propre.<br><br>Ils doivent alors avoir une IP publique chacun !<br>c'est 1 certificat par IP en IPv4 (je crois que l'on peut faire <br>autrement en IPv6).<br><br>> d'ou ma question: est ce que je vais po uvoir definir des certificats<br>> propres a chacun de mes vhosts access ibles sans pour autant etre obligé<br>> de passer par une ouverture de ports? <br><br>??<br>Ce n'est pas une question de port.<br>Les clients arrivent to us sur IP:443<br><br>Daniel<br><br><br>--<br>Pensez à lire la FAQ de la l iste avant de poser une question :<br><a href="http://wiki.debian.net/?De bianFrench"> http://wiki.debian.net/?DebianFrench</a><br><br>Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"<br><br>T o UNSUBSCRIBE, email to <a href="mailto: debian.org"> </a><br>with a subject of " unsubscribe". Trouble? Contact <a href="mailto: an.org"></a><br><br></blockquote></div><br>
------=_Part_10171_30820345.1136660850470--
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Marc PERRUDIN
Matthieu a écrit :
bonjour a tous,
Bonjour,
je me permets de vous contacter car j'ai un probleme sur une architecture. j'ai plusieurs vhosts sur ma machine debian sarge. en tant que bon paranoiaque, plusieurs d'entre eux sont accessibles depuis l'internet, et sont placés sur du https. seulement pour assurer l'authentification que l'on dialogue bien avec le bon vhost, j'aimerais que chacun de ces vhosts soit accessible avec un certifcat propre. mon architecture est la suivante: la machine serveur avec ses vhosts un routeur
mon probleme est que mon routeur ne peut rediriger vers une adresse ip ou un hote different en fonction de l'adresse demandée. au jour d'aujourd'hui, il se charge simplement de renvoyer les trames sur le port 443 vers mon serveur, la differenciation des noms de machine etant effectuée au niveau de la configuration des vhosts.
pour mon probleme de certificats, plusieurs options s'offrent a moi: - realiser un proxy ssl. de telle sorte, je n'aurais qu'un seul certificat a gerer. le gros probleme de cette methode, est que je ne veux pas que les utilisateurs aient a demander une url du genre: https://site/path/ mais seulement https://un_site/ - realiser un aliasing d'adresse ip sur les interfaces du serveur. cette methode me semblait la meilleure, mais je ne veux pas ouvrir d'autres ports sur mon firewall.
d'ou ma question: est ce que je vais pouvoir definir des certificats propres a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports? j'espère avoir été assez clair dans la description de mon probleme, merci d'avance pour votre aide bien cordialement,
Il est tout a fait possible de definir un certificat different pour chaque vhost, c'est meme le mode de fonctionnement normal car un certificat est generalement lié a une URL et non a une adresse IP. Si tes vhosts sont deja configurés, tu n'as qu'a definir le certificat pour chaque vhost avec les directives SSLCertificateFile, SSLCertificateKeyFile, ... directement dans la definition du vhost.
A+
Matthieu
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Matthieu a écrit :
bonjour a tous,
Bonjour,
je me permets de vous contacter car j'ai un probleme sur une architecture.
j'ai plusieurs vhosts sur ma machine debian sarge. en tant que bon
paranoiaque, plusieurs d'entre eux sont accessibles depuis l'internet,
et sont placés sur du https.
seulement pour assurer l'authentification que l'on dialogue bien avec
le bon vhost, j'aimerais que chacun de ces vhosts soit accessible avec
un certifcat propre.
mon architecture est la suivante:
la machine serveur avec ses vhosts
un routeur
mon probleme est que mon routeur ne peut rediriger vers une adresse ip
ou un hote different en fonction de l'adresse demandée.
au jour d'aujourd'hui, il se charge simplement de renvoyer les trames
sur le port 443 vers mon serveur, la differenciation des noms de
machine etant effectuée au niveau de la configuration des vhosts.
pour mon probleme de certificats, plusieurs options s'offrent a moi:
- realiser un proxy ssl. de telle sorte, je n'aurais qu'un seul
certificat a gerer. le gros probleme de cette methode, est que je ne
veux pas que les utilisateurs aient a demander une url du genre:
https://site/path/ mais seulement https://un_site/
- realiser un aliasing d'adresse ip sur les interfaces du serveur.
cette methode me semblait la meilleure, mais je ne veux pas ouvrir
d'autres ports sur mon firewall.
d'ou ma question: est ce que je vais pouvoir definir des certificats
propres a chacun de mes vhosts accessibles sans pour autant etre
obligé de passer par une ouverture de ports?
j'espère avoir été assez clair dans la description de mon probleme,
merci d'avance pour votre aide
bien cordialement,
Il est tout a fait possible de definir un certificat different pour
chaque vhost, c'est meme le mode de fonctionnement normal car un
certificat est generalement lié a une URL et non a une adresse IP. Si
tes vhosts sont deja configurés, tu n'as qu'a definir le certificat pour
chaque vhost avec les directives SSLCertificateFile,
SSLCertificateKeyFile, ... directement dans la definition du vhost.
A+
Matthieu
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
je me permets de vous contacter car j'ai un probleme sur une architecture. j'ai plusieurs vhosts sur ma machine debian sarge. en tant que bon paranoiaque, plusieurs d'entre eux sont accessibles depuis l'internet, et sont placés sur du https. seulement pour assurer l'authentification que l'on dialogue bien avec le bon vhost, j'aimerais que chacun de ces vhosts soit accessible avec un certifcat propre. mon architecture est la suivante: la machine serveur avec ses vhosts un routeur
mon probleme est que mon routeur ne peut rediriger vers une adresse ip ou un hote different en fonction de l'adresse demandée. au jour d'aujourd'hui, il se charge simplement de renvoyer les trames sur le port 443 vers mon serveur, la differenciation des noms de machine etant effectuée au niveau de la configuration des vhosts.
pour mon probleme de certificats, plusieurs options s'offrent a moi: - realiser un proxy ssl. de telle sorte, je n'aurais qu'un seul certificat a gerer. le gros probleme de cette methode, est que je ne veux pas que les utilisateurs aient a demander une url du genre: https://site/path/ mais seulement https://un_site/ - realiser un aliasing d'adresse ip sur les interfaces du serveur. cette methode me semblait la meilleure, mais je ne veux pas ouvrir d'autres ports sur mon firewall.
d'ou ma question: est ce que je vais pouvoir definir des certificats propres a chacun de mes vhosts accessibles sans pour autant etre obligé de passer par une ouverture de ports? j'espère avoir été assez clair dans la description de mon probleme, merci d'avance pour votre aide bien cordialement,
Il est tout a fait possible de definir un certificat different pour chaque vhost, c'est meme le mode de fonctionnement normal car un certificat est generalement lié a une URL et non a une adresse IP. Si tes vhosts sont deja configurés, tu n'as qu'a definir le certificat pour chaque vhost avec les directives SSLCertificateFile, SSLCertificateKeyFile, ... directement dans la definition du vhost.
A+
Matthieu
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Salut,
Marc PERRUDIN a écrit :
Il est tout a fait possible de definir un certificat different pour chaque vhost, c'est meme le mode de fonctionnement normal car un certificat est generalement lié a une URL et non a une adresse IP.
Côté navigateur, oui. Mais côté serveur, la session SSL (qui utilise le certificat) étant établie avant l'envoi de la requête HTTP (qui contientle hostname), je vois mal comment un certificat pourrait être lié à un vhost défini uniquement par le hostname.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Marc PERRUDIN a écrit :
Il est tout a fait possible de definir un certificat different pour
chaque vhost, c'est meme le mode de fonctionnement normal car un
certificat est generalement lié a une URL et non a une adresse IP.
Côté navigateur, oui. Mais côté serveur, la session SSL (qui utilise le
certificat) étant établie avant l'envoi de la requête HTTP (qui
contientle hostname), je vois mal comment un certificat pourrait être
lié à un vhost défini uniquement par le hostname.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Il est tout a fait possible de definir un certificat different pour chaque vhost, c'est meme le mode de fonctionnement normal car un certificat est generalement lié a une URL et non a une adresse IP.
Côté navigateur, oui. Mais côté serveur, la session SSL (qui utilise le certificat) étant établie avant l'envoi de la requête HTTP (qui contientle hostname), je vois mal comment un certificat pourrait être lié à un vhost défini uniquement par le hostname.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
